lar*_*sks 5 linux networking firewall centos libvirt
我有一个在 Fedora 31 主机上运行的 CentOS 8 来宾。来宾连接到桥接网络virbr0,并且具有地址192.168.122.217。我可以通过该地址的 ssh 登录来宾。
如果我在监听端口 80 的来宾上启动服务,从主机到来宾的所有连接都会失败,如下所示:
$ curl 192.168.122.217
curl: (7) Failed to connect to 192.168.122.217 port 80: No route to host
该服务必须0.0.0.0:
guest# ss -tln
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 128 0.0.0.0:22 0.0.0.0:*
LISTEN 0 5 0.0.0.0:80 0.0.0.0:*
LISTEN 0 128 [::]:22 [::]:*
使用tcpdump(virbr0在主机上或在eth0来宾上),我看到来宾似乎在回复 ICMP“禁止管理员”消息。
19:09:25.698175 IP 192.168.122.1.33472 > 192.168.122.217.http: Flags [S], seq 959177236, win 64240, options [mss 1460,sackOK,TS val 3103862500 ecr 0,nop,wscale 7], length 0
19:09:25.698586 IP 192.168.122.217 > 192.168.122.1: ICMP host 192.168.122.217 unreachable - admin prohibited filter, length 68
INPUT来宾中的链上没有防火墙规则:
guest# iptables -S INPUT
-P INPUT ACCEPT
来宾中的路由表看起来完全正常:
guest# ip route
default via 192.168.122.1 dev eth0 proto dhcp metric 100
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown
192.168.122.0/24 dev eth0 proto kernel scope link src 192.168.122.217 metric 100
SELinux 处于许可模式:
guest# getenforce
Permissive
如果我sshd在端口 22 上停止并启动我的服务,它会按预期工作。
是什么导致这些连接失败?
如果有人要求,iptables-save来宾上的完整输出是:
*filter
:INPUT ACCEPT [327:69520]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [285:37235]
:DOCKER - [0:0]
:DOCKER-ISOLATION-STAGE-1 - [0:0]
:DOCKER-ISOLATION-STAGE-2 - [0:0]
:DOCKER-USER - [0:0]
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN
COMMIT
*security
:INPUT ACCEPT [280:55468]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [285:37235]
COMMIT
*raw
:PREROUTING ACCEPT [348:73125]
:OUTPUT ACCEPT [285:37235]
COMMIT
*mangle
:PREROUTING ACCEPT [348:73125]
:INPUT ACCEPT [327:69520]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [285:37235]
:POSTROUTING ACCEPT [285:37235]
COMMIT
*nat
:PREROUTING ACCEPT [78:18257]
:INPUT ACCEPT [10:600]
:POSTROUTING ACCEPT [111:8182]
:OUTPUT ACCEPT [111:8182]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A DOCKER -i docker0 -j RETURN
COMMIT
嗯,我想通了。这是一个愚蠢的。
CentOS 8 使用nftables,这本身并不奇怪。它随命令的nft版本一起提供iptables,这意味着当您使用该iptables命令时,它实际上在 nftables 中维护了一组兼容性表。
然而...
默认情况下安装的 Firewalld对 nftables具有本机支持,因此它不使用 iptables 兼容层。
因此,whileiptables -S INPUT向您展示:
# iptables -S INPUT
-P INPUT ACCEPT
你实际拥有的是:
chain filter_INPUT {
type filter hook input priority 10; policy accept;
ct state established,related accept
iifname "lo" accept
jump filter_INPUT_ZONES_SOURCE
jump filter_INPUT_ZONES
ct state invalid drop
reject with icmpx type admin-prohibited <-- HEY LOOK AT THAT!
}
这里的解决方案(老实说,一般来说可能是很好的建议)是:
systemctl disable --now firewalld
使用 firewalld 后,可见的 iptables 规则iptables -S将按预期运行。
| 归档时间: |
|
| 查看次数: |
10225 次 |
| 最近记录: |